0x00 文件頭檢測
文件內容檢測是文件頭檢測,不同的文件不同的文件頭,后台根據文件頭判斷文件類型,如果檢測的比較好,攻擊就比較困難了
常見文件文件頭:
PEG (jpg),文件頭:FFD8FF
PNG (png),文件頭:89504E47
GIF (gif),文件頭:47494638
TIFF (tif),文件頭:49492A00
Windows Bitmap (bmp),文件頭:424D
CAD (dwg),文件頭:41433130
Adobe Photoshop (psd),文件頭:38425053
Rich Text Format (rtf),文件頭:7B5C727466
XML (xml),文件頭:3C3F786D6C
HTML (html),文件頭:68746D6C3E
Email [thorough only] (eml),文件頭:44656C69766572792D646174653A
Outlook Express (dbx),文件頭:CFAD12FEC5FD746F
Outlook (pst),文件頭:2142444E
MS Word/Excel (xls.or.doc),文件頭:D0CF11E0
MS Access (mdb),文件頭:5374616E64617264204A
WordPerfect (wpd),文件頭:FF575043
Postscript (eps.or.ps),文件頭:252150532D41646F6265
Adobe Acrobat (pdf),文件頭:255044462D312E
Quicken (qdf),文件頭:AC9EBD8F
Windows Password (pwl),文件頭:E3828596
ZIP Archive (zip),文件頭:504B0304
RAR Archive (rar),文件頭:52617221
Wave (wav),文件頭:57415645
AVI (avi),文件頭:41564920
Real Audio (ram),文件頭:2E7261FD
Real Media (rm),文件頭:2E524D46
MPEG (mpg),文件頭:000001BA
MPEG (mpg),文件頭:000001B3
Quicktime (mov),文件頭:6D6F6F76
Windows Media (asf),文件頭:3026B2758E66CF11
MIDI (mid),文件頭:4D546864
基本構造的結構是:
(文件頭) (可接一些對應文件頭類型的文件內容) <?php $_POST["HAHA"]; ?> (可接一些對應文件頭類型的文件內容)
如:
這樣就構造了繞過文件頭檢測的一句話木馬了,不過這種對內容加載檢測就不起作用了,因為添加的php代碼破壞了原png數據
0x01 文件內容加載/渲染
這個主要是檢測文件結構是否完整,上面說到的例子就是不完整的,因為php代碼覆蓋了一部分圖片數據‘
用winhex 看數據可以分析出這類攻擊的原理是在不破壞文件本身的渲染情況下找一個空白區進行填充代碼,一般會是圖片的注釋區
對於渲染測試基本上都能繞過,畢竟本身的文件結構是完整的